Mit <kes>+ lesen

Bärendienst für den Datenschutz

Auch wenn Warnrufe in Sachen Sicherheitslücken bisweilen ungehört verhallen, darf man im professionellen Umfeld nicht zu dubiosen Maßnahmen greifen, um Betroffenen die Augen zu öffnen. Schwere Pflichtverletzungen können dabei ohne Weiteres zur fristlosen Kündigung durch den Arbeitgeber führen.

Compliance
Lesezeit 3 Min.

Dass man mit dem Datenschutz besser keine Spielchen treibt, zeigt ein aktuelles Urteil des Arbeitsgerichts Siegburg, das die fristlose Kündigung eines IT-Mitarbeiters als gerechtfertigt ansah, der den Stellenwert oder Sinn des Datenschutzes offenbar nicht gänzlich verinnerlicht hatte, obwohl er nach eigenem Bekunden gerade diesem dienen wollte (Urteil vom 15. Januar 2020, Az. 3 Ca 1793/19, online auf www.justiz.nrw.de/nrwe/arbgs/koeln/arbg_siegburg/j2020/3_Ca_1793_19_Urteil_20200115.html).

Der Kläger war seit 2011 als SAP-Berater bei der Beklagten tätig und arbeitete zuletzt als „Senior Entwickler“ im Homeoffice. Im Rahmen seiner Tätigkeit waren ihm wegen einer Sicherheitslücke auf einem verschlüsselten Rechner einer von ihm betreuten Kundin der Beklagten sensible Daten von Dritten zugänglich geworden; konkret hatte er unter anderem Namen, Anschriften und Bankverbindungen von Kunden dieser Kundin auf einen Memory-Stick gespeichert. Der Beklagte behauptete, er habe die Kunden der Beklagten mehrfach vergeblich auf die datenschutzrelevanten Sicherheitslücken aufmerksam gemacht, ohne dass diese reagiert hätten – seinen Arbeitgeber (die Beklagte im betrachteten Prozess) hatte er indessen nicht über Sicherheitslücken bei der Kundin informiert.

Der IT-Mitarbeiter habe „im Sinne der Allgemeinheit und der Kundin datenschutzrechtliche Verstöße verhindern wollen“ und erdachte dazu folgenden Plan: Um der betroffenen Firma unmissverständlich vor Augen zu führen, dass ihr System Sicherheitslücken aufweist und wie einfach es ist, diese auszunutzen, nutzte er die genannten Daten und bestellte Kopfschmerztabletten für zwei Vorstandmitglieder der Kundin. Dies sollte die Sicherheitslücke beweisen und bei den verantwortlichen Vorstandsmitgliedern „zu Kopfschmerzen führen“, gegen die wiederum die mit dem entsprechenden Hinweis ausgelieferten Schmerztabletten helfen könnten.

Doch dieses irgendwie schräge Spiel ging nach hinten los – sein Arbeitgeber kündigte ihm fristlos, nachdem er über seine Kundin von dem Vorfall erfuhr. Der Kläger, der sich beim Arbeitsgericht Siegburg gegen diese fristlose Kündigung wehrte, musste sich vom Gericht belehren lassen, dass sie jedoch durchaus gerechtfertigt war: Das Gericht begründete, dass der Kläger durch sein Verhalten massiv gegen die Interessen seines Arbeitgebers verstoßen habe, auf die er aber Rücksicht hätte nehmen müssen.

Bereits die unerlaubte Speicherung unternehmensbezogener Daten auf einer privaten Festplatte könne die arbeitnehmerische Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers (aus § 241 Abs. 2 BGB) verletzen, wie das Bundesarbeitsgericht schon vor Jahren festgestellt hatte (BAG-Urteil vom 24. März 2011, Az. 2 AZR 282/10).

Allem voran seien jedoch sensible Kundendaten zu schützen: Während die Kundin davon ausgehen durfte, dass die Beklagte und ihre Mitarbeiter, also hier der Kläger, dazu da seien, ihre Daten zu schützen und sie bei deren Sicherung zu unterstützen, habe der Kläger sein Zugriffsrecht missbraucht und eine Sicherheitslücke entdeckt, über die er sensible Daten missbraucht habe. Der Kläger habe dadurch nicht nur massiv das Vertrauensverhältnis zwischen der Beklagten und ihrer Kundin gestört, sondern auch die Geschäftsbeziehung zwischen den Kunden der Kundin und der Kundin selbst beeinträchtigt, was ihm auch hätte klar sein müssen. Damit sei eine unmittelbare fristlose Kündigung letztlich gerechtfertigt gewesen.

Unabhängig davon, dass ein solches Verhalten auch strafrechtliche Konsequenzen nach sich ziehen kann, zeigt man an dieser richterlichen Einschätzung, wie sehr gerade Mitarbeiter der IT besonders für die von ihnen verwalteten Daten und ihren Schutz verantwortlich sind, egal ob im eigenen Haus oder als Dienstleister. Eine sogar noch vorsätzlich begangene „Spielerei“ kann daher ohne weitere Schritte zu harten Sanktionen führen – also auch ohne dass es zunächst einer Abmahnung als milderen Mittels bedürfte. Im betrachteten Fall hat den Kläger weder sein langjähriges Anstellungsverhältnis noch eine vorliegende Schwerbehinderung davor bewahrt, seinen Job und sein monatliches Gehalt von über 8.000 € zu verlieren.

Der Wiesbadener Rechtsanwalt Stefan Jaeger (www.jaeger. legal) betreut diese Kolumne seit 2013. Er referiert über IT-Rechtsfragen seit Jahren an der Deutschen Richterakademie und beim Deutschen Richterbund. Er ist darüber hinaus Referatsleiter Datenschutz bei der GenoServ eG.

Diesen Beitrag teilen: